UMOWA O OCHRONIE DANYCH POMOC TECHNICZNA I KONSERWACJA
UMOWA O OCHRONIE DANYCH POMOC TECHNICZNA I KONSERWACJA
Niniejsza Umowa o ochronie danych i jej załączniki („DPA”) określa minimalne standardy ochrony danych i bezpieczeństwa cybernetycznego oraz powiązane wymagania i stanowi część umowy, w tym umowy handlowej, umowy o świadczenie usług lub zamówienia („Umowa”) (z wyjątkiem umowy użytkownika Cepheid C360). Niniejsza Umowa o ochronie danych zostaje zawarta pomiędzy Klientem (zgodnie z definicją zawartą w Umowie) a firmą Cepheid (zgodnie z definicją zawartą w Umowie) i obowiązuje przez cały okres obowiązywania Umowy. Cepheid i Klient są dalej w niniejszym dokumencie odrębnie zwani „Stroną”, a łącznie „Stronami”.
Strony zgadzają się, że w przypadku Przetwarzania danych osobowych na mocy Umowy, warunki niniejszej Umowy o ochronie danych będą miały zastosowanie do tej Umowy, bez względu na to, czy w Umowie wyraźnie o tym mowa.
W ZWIĄZKU Z POWYŻSZYM, z uwagi na przesłanki wymienione powyżej oraz wzajemne zobowiązania zawarte w niniejszym dokumencie, Strony uzgadniają, co następuje:
1. Definicje.
(A) „Obowiązujące prawo” oznacza każde prawo (w tym wszystkie obowiązujące na całym świecie przepisy i regulacje dotyczące ochrony danych i prywatności mające zastosowanie do danych osobowych, w tym, w stosownych przypadkach, przepisy UE dotyczące ochrony danych lub POPIA
), zasady lub regulacje mające zastosowanie do Umowy, Usług lub Strony i obowiązujące standardy branżowe dotyczące prywatności, ochrony danych, poufności, bezpieczeństwa informacji, dostępności i integralności, lub obsługi lub przetwarzania (w tym przechowywania i ujawniania) Danych osobowych, które mogą być od czasu do czasu zmieniane, regulowane, przekształcane lub zastępowane.
(B) Terminy „administrator”, „podmiot przetwarzający”, „podmiot danych”, „dane osobowe lub informacje osobowe”, „przetwarzać”, „przetwarzanie” oraz „szczególne kategorie danych osobowych” i „wrażliwe dane osobowe” mają znaczenie podane we Właściwym prawie.
(C) „Naruszenie ochrony danych” oznacza (i) utratę lub niewłaściwe wykorzystanie (w dowolny sposób) danych osobowych; (ii) niezamierzone, nieupoważnione lub niezgodne z prawem ujawnienie, dostęp, zmianę, uszkodzenie, przekazanie, sprzedaż, wynajem, zniszczenie lub wykorzystanie danych osobowych; lub (iii) inne działanie lub zaniechanie, które zagraża lub może zagrozić bezpieczeństwu, poufności lub integralności danych osobowych lub (iv) jakiekolwiek naruszenie zabezpieczeń.
(D) „Prawo ochrony danych UE / Wielkiej Brytanii / Szwajcarii” oznacza (i) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych („RODO UE”); (ii) RODO UE zapisane w prawie Wielkiej Brytanii na mocy punktu 3 brytyjskiej ustawy o Unii Europejskiej (Wycofanie) z 2018 roku („RODO brytyjskie”); (iii) w Szwajcarii ustawa federalna o ochronie danych osobowych z dnia 00 xxxxxxx 0000 xxxx (xxxxxx zmieniona) („FADP”); (iv) dyrektywę o prywatności i łączności elektronicznej UE (dyrektywa 2002/58/WE); oraz (v) wszelkie obowiązujące krajowe przepisy o ochronie danych
wer. 230117
osobowych ustanowione na mocy postanowień pkt (i), (ii) lub (iii) lub zgodnie z nimi; w każdym przypadku w obowiązującej w danym czasie wersji.
(E) „Dane osobowe” oznaczają, w dowolnej formie, formacie lub na dowolnym nośniku, wszelkie (a) poufne informacje Klienta; lub (b) dane, które oznaczają wszelkie informacje mogące zidentyfikować osobę fizyczną. Dla wyjaśnienia, Dane osobowe oznaczają także Informacje osobowe.
(F) „POPIA” oznacza Ustawę o ochronie danych osobowych Republiki Południowej Afryki, ustawę dotyczącą ochrony i regulacji przetwarzania danych osobowych w Republice Południowej Afryki, przyjętą 13 listopada 2013 roku i obowiązującą od 1 lipca 2020 roku.
(G) „Ograniczony transfer” oznacza (i) tam, gdzie ma zastosowanie RODO UE, przekazanie Danych osobowych do kraju spoza Europejskiego Obszaru Gospodarczego, który nie podlega ocenie adekwatności przez Komisję Europejską; (ii) tam, gdzie ma zastosowanie RODO Wielkiej Brytanii, przekazywanie danych osobowych do dowolnego innego kraju, który nie bazuje na przepisach dotyczących adekwatności zgodnie z artykułem 17A brytyjskiej Ustawy o ochronie danych z 2018 roku; (iii) tam, gdzie ma zastosowanie FADP, ujawnienie transgraniczne w przypadku braku przepisów gwarantujących odpowiednią ochronę zgodnie z artykułem 6 FADP oraz (iv) tam, gdzie ma zastosowanie POPIA, transgraniczne przekazywanie, ujawnianie lub wymiana informacji poza Republiką Południowej Afryki.
(H) „Standardowe klauzule umowne” oznaczają (i) tam, gdzie ma zastosowanie RODO UE, klauzule umowne załączone do decyzji wykonawczej Komisji Europejskiej 2021/914 z dnia 4 czerwca 2021 roku w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich zgodnie z rozporządzeniem (UE) 2016/679 Parlamentu Europejskiego i Rady („SKU UE”); (ii) tam, gdzie zastosowanie ma RODO Wielkiej Brytanii, „Międzynarodowy aneks dotyczący przekazywania danych do standardowych klauzul umownych Komisji UE” wydany przez Komisarza ds. Informacji na mocy art. 119A ust. 1 ustawy o ochronie danych z 2018 roku („Aneks brytyjski”); (iii) tam, gdzie ma zastosowanie FADP, wzory umów i standardowe klauzule umowne uznane przez Szwajcarskiego Federalnego Komisarza ds. Ochrony Danych i Informacji („FDPIC”) zgodnie z art. 6 ust. 2 lit. a FADP zgodnie z oświadczeniem FDPIC z dnia 27 sierpnia 2021 roku (pierwotnie dostępne pod adresem: xxxxx://xxx.xxxxx.xxxxx.xx/xxx/xxxxx/xx/xxxxxxxxx/0000/Xxxxx%00XXX%00xxx.xx%0000 082021.pdf.download.pdf/Paper%20SCC%20def.en%2024082021.pdf) („Aneks szwajcarski”); oraz
(iv) tam, gdzie ma zastosowanie POPIA, klauzule umowne związane z ochroną, przetwarzaniem i przekazywaniem danych osobowych zawarte przez dwie strony w odniesieniu do takich informacji.
(I) „Usługi” oznaczają usługi świadczone przez Cepheid zgodnie z Umową.
(J) „Podwykonawca przetwarzania” oznacza dowolną jednostkę lub osobę, której podmiot przetwarzający dane powierza obowiązki.
(K) Jeśli ma to zastosowanie, inne terminy pisane wielką literą mają znaczenia nadane im w Umowie.
2. Relacje Stron:
2.1 Klient („Administrator”) wyznacza firmę Cepheid na podmiot przetwarzający w celu przetwarzania danych osobowych w sposób opisany w Załączniku 1 do niniejszej Umowy o ochronie danych do celów
wer. 230117
w nim opisanych (lub uzgodnionych inaczej na piśmie między Stronami) („Dozwolony cel”). Każda ze stron przestrzega zobowiązań, które jej dotyczą zgodnie z Właściwym prawem.
Klient przyjmuje do wiadomości i zgadza się, że Cepheid może zaangażować swoje podmioty stowarzyszone lub zewnętrznych podwykonawców przetwarzania w związku ze świadczeniem usług. Firma Cepheid pozostaje w pełni odpowiedzialna wobec Klienta za taką osobę trzecią i zawiera pisemną, wykonalną umowę z tą osobą trzecią, zawierającą warunki nie mniej restrykcyjne niż zobowiązania mające zastosowanie do Klienta na mocy niniejszej Umowy o ochronie danych.
2.2 Firma Cepheid zbiera i przetwarza jego dane identyfikacyjne oraz w razie potrzeby dane identyfikacyjne pracownika Klienta w celu zawarcia i wykonania warunków Umowy, a szerzej w celu zarządzania ich relacjami biznesowymi oraz w celu przesyłania informacji o produktach, towarach i usługach lub powiązanych produktach, towarach lub usługach od podmiotów stowarzyszonych. Więcej informacji na temat Polityki prywatności Cepheid można znaleźć na stronie internetowej Cepheid lub można skontaktować się z firmą Cepheid, pisząc na adres: xxxxxxx.xxxxxxx@xxxxxxx.xxx Klient zobowiązuje się poinformować każdy zainteresowany podmiot danych o działaniach firmy Cepheid związanych z przetwarzaniem danych i odpowiednio przekazać firmie Cepheid informację o ochronie prywatności.
3. Wymagania ogólne.
3.1 W sytuacji, gdy firma Cepheid przetwarza dane osobowe w imieniu Xxxxxxx, Cepheid:
i) przestrzega wszystkich obowiązujących przepisów prawa, w tym Właściwego prawa, podczas przetwarzania danych osobowych;
ii) poza przypadkami wymaganymi przez obowiązujące prawo, przetwarza dane osobowe wyłącznie w imieniu Klienta i wyłącznie w zakresie niezbędnym do świadczenia usług na rzecz Klienta oraz zgodnie ze wszystkimi obowiązującymi przepisami prawa, w tym Właściwym prawem oraz udokumentowanymi instrukcjami Klienta;
iii) wdraża i utrzymuje odpowiednie i uzasadnione techniczne i organizacyjne środki bezpieczeństwa, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka, w tym, w stosownych przypadkach, środki, o których mowa w art. 32 ust. 1 RODO UE i brytyjskiego (w tym wymogi normy PCI DSS (Payment Card Industry Data Security Standard), jeśli firma Cepheid przetwarza dane posiadaczy kart lub inne dane finansowe dotyczące rachunków) w celu ochrony danych osobowych (i) przed przypadkowym lub bezprawnym zniszczeniem oraz (ii) przed utratą, zmianą, nieuprawnionym ujawnieniem lub dostępem do danych osobowych; co najmniej środki te obejmują środki określone w Załączniku 2;
iv) zezwala na dostęp do danych osobowych wyłącznie personelowi firmy Cepheid, który musi mieć dostęp do odpowiednich danych osobowych w zakresie niezbędnym do realizacji celów Umowy, przy czym wszystkie takie osoby podlegają obowiązkowi zachowania poufności;
v) zapewnia wszelką uzasadnioną i terminową pomoc (w tym poprzez wdrożenie odpowiednich i uzasadnionych środków technicznych i organizacyjnych), aby pomóc Klientowi w odpowiedzi na: (i) żądanie Podmiotu danych, dotyczące skorzystania z jego praw wynikających z Właściwego prawa (w tym odpowiednio jej prawa do dostępu, sprostowania, sprzeciwu, usunięcia i przeniesienia danych); i (ii) wszelką inną korespondencję, zapytanie lub zażalenie otrzymane od Podmiotu danych, organu nadzorczego lub jakiejkolwiek osoby trzeciej w związku z przetwarzaniem Danych osobowych. W przypadku, gdy takie żądania, korespondencja, zapytania lub zażalenia zostaną skierowane bezpośrednio do Cepheid, Cepheid niezwłocznie poinformuje o tym Klienta, podając pełne szczegóły sprawy;
wer. 230117
vi) niezwłocznie powiadamia Klienta o:
a) wszelkich żądaniach, zapytaniach, skargach, zawiadomieniach lub komunikatach otrzymanych od osób trzecich, w tym podmiotu danych, lub organu nadzorczego, w odniesieniu do dowolnych danych osobowych i stosuje się do instrukcji Klienta w odpowiedzi na takie żądania, zapytania, skargi, zawiadomienia lub komunikaty; oraz
b) wszelkich poleceniach Klienta, które zdaniem Cepheid naruszają obowiązujące przepisy prawa, w tym Właściwe prawo;
vii) w przypadku transferu międzynarodowego, Strony uzgadniają, że jeżeli transfer Danych osobowych jest Transferem ograniczonym, będzie on podlegał odpowiednim Standardowym klauzulom umownym określonym w Załączniku 3.
viii) na uzasadniony wniosek Klienta i z odpowiednim wyprzedzeniem, przedstawia urządzenia wykorzystywane do przetwarzania danych osobowych lub dane osobowe do audytu, który zostanie przeprowadzony przez przedstawicieli Klienta lub organ kontrolny uzgodniony przez obie Strony, przy czym koszty z tym związane ponosi wyłącznie Klient;
ix) prowadzi stosowną ewidencję, która pomaga w realizacji jej zobowiązań wynikających z niniejszej Umowy o ochronie danych oraz udostępnia ją Klientowi w związku z dowolnym audytem, o którym mowa w pkt (viii) powyżej;
x) z wyjątkiem sytuacji, w których firma Cepheid wprowadziła Standardowe klauzule umowne w odniesieniu do ograniczonego przekazania danych osobowych, nie przekazuje żadnych danych osobowych z jakiejkolwiek jurysdykcji do innej jurysdykcji bez uprzedniej pisemnej zgody Klienta;
xi) w uzasadniony sposób pomaga i współpracuje z Klientem, w tym pomaga Klientowi w przeprowadzaniu oceny skutków dla ochrony danych lub oceny wpływu na ochronę prywatności (zgodnie z Właściwym prawem) oraz we wcześniejszych konsultacjach z odpowiednimi organami, aby pomóc Klientowi w wypełnianiu jego zobowiązań wynikających z Właściwego prawa;
xii) zatrzymuje dane osobowe tylko tak długo, jak jest to konieczne do świadczenia usług, a po zakończeniu świadczenia usług, zgodnie z wyborem Klienta, usuwa lub zwraca dane osobowe Klientowi (chyba że obowiązujące prawo wyraźnie wymaga inaczej) i na życzenie Klienta dostarcza mu pisemne zaświadczenie, że zastosowała się do postanowień niniejszego punktu;
xiii) jeśli Cepheid zasadnie podejrzewa naruszenie ochrony danych lub dowie się o nim:
a) przekazuje Klientowi pisemne powiadomienie o tym bez zbędnej zwłoki, a w żadnym wypadku nie później niż dwadzieścia cztery (24) godziny po uzyskaniu informacji o takim podejrzeniu lub potwierdzeniu naruszenia ochrony danych;
b) przekazuje Klientowi informacje umożliwiające mu zgłoszenie lub poinformowanie podmiotów danych, o naruszeniu ochrony danych, w zależności od potrzeb;
c) podejmuje dochodzenie w sprawie takiego naruszenia ochrony danych i w uzasadniony sposób współpracuje z Klientem, organami regulacyjnymi i organami ścigania;
wer. 230117
d) nie ogłasza publicznie żadnych komunikatów dotyczących takiego naruszenia ochrony danych bez uprzedniej pisemnej zgody Klienta, która nie zostanie bezzasadnie wstrzymana; oraz
e) w odpowiednim czasie podejmuje uzasadnione działania naprawcze, aby pomóc w dochodzeniu, łagodzeniu i usuwaniu skutków naruszenia ochrony danych w celu wyeliminowania i zmniejszenia ryzyka ponownego wystąpienia takiego naruszenia ochrony danych; oraz
xiv) poddaje się wyborowi jurysdykcji przewidzianej w Umowie w odniesieniu do wszelkich sporów lub roszczeń wynikających w dowolny sposób z niniejszej Umowy o ochronie danych, w tym sporów dotyczących jej istnienia, ważności lub rozwiązania bądź konsekwencji jej nieważności; natomiast niniejsza Umowa o ochronie danych i wszystkie wynikające bezpośrednio lub pośrednio z niej zobowiązania pozaumowne lub inne podlegają prawu państwa lub terytorium określonego w tym celu w Umowie.
3.2 Strony nie będą uczestniczyć (ani zezwalać żadnemu podwykonawcy przetwarzania na udział w) w jakichkolwiek innych Ograniczonych przekazywaniach danych osobowych (zarówno jako podmiot przekazujący, jak i podmiot odbierający Dane osobowe), chyba że Ograniczone przekazywanie zostanie dokonane w pełnej zgodności z Właściwym prawem i zgodnie ze Standardowymi klauzulami umownymi wdrożonymi pomiędzy właściwym podmiotem przekazującym a podmiotem odbierającym Dane osobowe.
3.3 Klient upoważnia firmę Cepheid do wyznaczenia Podwykonawców przetwarzania danych (i zezwala każdemu Podwykonawcy przetwarzania danych wyznaczonemu na wyznaczenie innych Podmiotów przetwarzających dane) zgodnie z niniejszym punktem 3.3 i wszelkimi ograniczeniami w Umowie.
3.3.1 Niniejszym Klient udziela firmie Cepheid ogólnej zgody na korzystanie z Podwykonawców przetwarzania już zaangażowanych w dniu podpisania niniejszej Umowy o ochronie danych pod warunkiem, że firma Cepheid pozostaje w pełni odpowiedzialna wobec Klienta za taką osobę trzecią i w każdym przypadku i tak szybko jak to możliwe, zawrze pisemną, wykonalną umowę z tą osobą trzecią, zawierającą warunki nie mniej restrykcyjne niż zobowiązania mające zastosowanie do firmy Cepheid na mocy niniejszej Umowy o ochronie danych.
3.3.2 Firma Cepheid prowadzi listę swoich autoryzowanych podwykonawców przetwarzania, dostępną na życzenie.
4. Pozostałe postanowienia.
W stosownych przypadkach Standardowe klauzule umowne, w tym Załączniki 1-4, będą regulować i kontrolować w przypadku jakiegokolwiek konfliktu lub niespójności między warunkami niniejszej Umowy o ochronie danych a Standardowymi klauzulami umownymi.
wer. 230117
Załącznik 1
Opis systemu przetwarzania danych
Niniejszy Załącznik 1 stanowi część Umowy o ochronie danych i opisuje przetwarzanie danych, które podmiot przetwarzający będzie wykonywał w imieniu administratora.
Lista Stron
Podmiot przetwarzający dane:
1. | Nazwa: | Cepheid, podmiot wskazany w Umowie |
Adres: | Jak określono w Umowie | |
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: | Jak określono w Umowie lub między Stronami | |
Działania istotne dla danych przekazywanych na podstawie niniejszych klauzul: | Opisane w niniejszym załączniku 1 | |
Rola: | Podmiot przetwarzający dane |
Administrator:
1. | Nazwa: | Klient, podmiot wskazany w Umowie |
Xxxxx: | Jak określono w Umowie | |
Imię i nazwisko osoby kontaktowej, stanowisko i dane kontaktowe: | Jak określono w Umowie lub między Stronami | |
Działania istotne dla danych przekazywanych na podstawie niniejszych klauzul: | Opisane w niniejszym załączniku 1 | |
Rola: | Administrator |
Opis przekazywania danych Przedmiot przetwarzania
Dane osobowe są przetwarzane w następujących celach:
Pomoc techniczna, optymalizacja przepływu pracy, ogólne wsparcie, minimalizacja czasu przestoju Klienta, reagowanie na informacje zwrotne od Klienta, kwestie regulacyjne, pomiary, analityka klienta, weryfikacja połączeń (rozwiązywanie problemów, wdrażanie / LIS (laboratoryjny system informatyczny)), nadzór post- marketingowy, audyty
Czas trwania przetwarzania
Dane osobowe będą przetwarzane:
Analityka klienta: tak długo, jak jest to konieczne do realizacji celów i świadczenia zamówionych usług zgodnie z Umową, chyba że uzgodniono inaczej na piśmie pomoc techniczna, ogólne wsparcie, minimalizacja czasu przestoju Klienta, reagowanie na informacje zwrotne od Klienta, kwestie regulacyjne, pomiary, weryfikacja połączeń: do czasu rozwiązania problemu
Wszystkie dane mogą być przechowywane w archiwach do celów nadzoru post-marketingowego lub audytu, a okres ich przechowywania zależy od Rozporządzenia
Częstotliwość przekazywania danych
Dane osobowe będą przetwarzane w sposób ciągły.
wer. 230117
Charakter przetwarzania danych:
Operacje przetwarzania danych
Dane osobowe będą podlegać poniższym podstawowym czynnościom przetwarzania:
Rejestrowanie, przechowywanie, przeglądanie, wykorzystywanie, ujawnianie przez przekazywanie, łączenie, ograniczanie, usuwanie lub niszczenie, anonimizacja, pseudonimizacja oraz w sposób określony w Umowie.
Kategorie podmiotów danych
Przetwarzane dane osobowe dotyczą następujących kategorii podmiotów danych: Pacjenci Klienta
Klient i jego pracownicy
Kategorie danych osobowych
Przetwarzane dane osobowe dotyczą następujących kategorii danych:
W zależności od danych wprowadzonych przez Klienta do konsoli urządzenia i/lub otrzymanych przez Laboratoryjny system informatyczny, następujące dane mogą być przetwarzane w różnych celach wymienionych powyżej: Identyfikator próbki, dane telemetryczne z urządzenia (temperatura, napięcia, ciśnienie, alarmy i sygnały alarmowe systemu), wyniki badań, imię, nazwisko, identyfikator pacjenta (dane mogą zawierać wrażliwe lub szczególne kategorie danych osobowych)
Właściwe władze
Będzie to organ nadzorczy w kraju członkowskim UE, w którym podmiot przekazujący dane ma siedzibę lub komisja informacyjna, jeśli podmiot przekazujący dane ma siedzibę w Wielkiej Brytanii („UK”) lub FDPIC, jeśli podmiot przekazujący ma siedzibę w Szwajcarii. W przypadku, gdy podmiot przekazujący dane nie ma siedziby w kraju członkowskim UE, w Wielkiej Brytanii lub w Szwajcarii, ale podlega przepisom o ochronie danych obowiązujących w UE/Wielkiej Brytanii/Szwajcarii, będzie to organ nadzorczy w jurysdykcji, w której ma siedzibę przedstawiciel firmy Cepheid (zgodnie z wymogami przepisów o ochronie danych obowiązujących w UE/Wielkiej Brytanii/Szwajcarii). W przypadku, gdy wyznaczenie przedstawiciela nie jest wymagane na mocy przepisów o ochronie danych obowiązujących w UE/Wielkiej Brytanii/Szwajcarii, organem nadzorczym będzie CNIL we Francji, jeśli osoby, których dane są przekazywane, znajdują się w UE lub Komisarz ds. informacji, jeśli osoby znajdują się w Wielkiej Brytanii lub FDPIC, jeśli osoby, których dane są przekazywane znajdują się w Szwajcarii. Jeżeli dane osobowe pochodzą x Xxxxxx, organem nadzorczym będzie jeden z komisarzy, który ma jurysdykcję w danej sprawie, zgodnie z obowiązującym prawem o ochronie danych.
wer. 230117
Załącznik 2
Opis środków technicznych i organizacyjnych wdrożonych przez Cepheid
Niniejszy Załącznik 2 stanowi część Umowy o ochronie danych i opisuje środki techniczne i organizacyjne, które firma Cepheid wdrożyła zgodnie z art. 32 ust. 1 RODO oraz innymi obowiązującymi przepisami o ochronie danych.
1- Na miejscu:
Współpracownik firmy Cepheid może używać zaszyfrowanego dysku USB w celu wyodrębnienia niezbędnych danych instrumentu Klienta w celu rozwiązania problemów technicznych i poprawy wydajności instrumentu.
W przypadku wizyt określających i optymalizujących działanie, pracownicy firmy Cepheid uzyskują dostęp tylko do niezbędnego minimum danych, które nie zawierają żadnych danych dotyczących stanu zdrowia pacjenta. Dane są przesyłane do notatnika współpracownika, przetwarzane w celu wygenerowania raportu dla klienta z zaleceniami, a następnie usuwane zgodnie z zasadami standaryzacji pracy i zasadami przechowywania danych firmy Cepheid.
2- Na odległość:
Rola dostępu: Tylko pracownicy pomocy technicznej i pomocy na miejscu firmy Cepheid mają zapewniony dostęp do instrumentów.
W celu zdalnego wsparcia obsługi reklamacji agenci firmy Cepheid mogą korzystać z sesji udostępniania pulpitu zdalnego (RDS), ale w każdym przypadku tylko po autoryzacji sesji przez klienta.
Przesyłanie danych: Zgodnie z polityką firmy Cepheid dane są przesyłane bezpieczną, zaszyfrowaną metodą na wewnętrzne serwery firmy Cepheid, aby współpracownicy mogli zaangażować się w działania związane z obsługą klienta (do zabezpieczonych transakcji używane są protokoły TLS 1.2+).
3- Klient wysyła dane:
Wysyłanie pocztą elektroniczną, na platformie internetowej lub faksem: dane są wysyłane przez Klienta za pomocą bezpiecznej, zaszyfrowanej metody do wewnętrznego współpracownika firmy Cepheid w regionie. Klient jako Administrator danych, jest odpowiedzialny za anonimizację Danych osobowych i załadowanie tylko minimalnej ilości danych wymaganych przed przesłaniem do firmy Cepheid (oprogramowanie instrumentu Cepheid umożliwia Klientowi ukrycie określonych Danych osobowych i danych dotyczących opieki zdrowotnej w raporcie przyrządu przed ich przekazaniem).
4- Przekazywanie danych między pionami wsparcia firmy Cepheid:
Jeśli potrzebne jest dodatkowe wsparcie poza regionem macierzystym Klienta, przekazane zostaną tylko niezbędne informacje, a niepotrzebne dane osobowe i dane dotyczące opieki zdrowotnej zostaną usunięte
/ zanonimizowane, na ile to możliwe*, a dane zostaną przesłane bezpieczną metodą udostępniania. Dane zostaną zaszyfrowane i zniszczone zgodnie z odpowiednią polityką obsługi klienta firmy Cepheid.
5- Polityka i praktyka:
Firma Cepheid zapewnia ciągłą poufność, integralność, dostępność i odporność systemów przetwarzania i usług. W tym celu ma możliwość terminowego przywrócenia dostępności i dostępu do odpowiednich usług wsparcia i obsługi reklamacji danych w systemach Cepheid w przypadku incydentu fizycznego lub technicznego.
6- Procedury:
Firma Cepheid wdrożyła procedurę regularnego testowania, oszacowania i oceny skuteczności środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych.
* Procedura pozbawienia elementów pozwalających na identyfikację / anonimizacji jest określona dla
danego przyrządu.
wer. 230117
Załącznik 3
Przepisy transferowe w Wielkiej Brytanii, UE i Szwajcarii
1. W przypadku, gdy SKU UE zostaną uznane za wprowadzone i włączone do niniejszej Umowy o ochronie danych przez odniesienie między Stronami, SKU UE zostaną uzupełnione w następujący sposób:
(i) moduł drugi będzie miał zastosowanie w zakresie, w jakim Klient jest administratorem Danych osobowych;
(ii) w Klauzuli 7 zastosowanie będzie miała opcjonalna klauzula wprowadzająca;
(iii) w Klauzuli 9 zastosowanie będzie miała Opcja 2, a okres wcześniejszego powiadomienia o zmianach Podwykonawcy przetwarzania będzie taki, jak określono w Klauzuli 3.2 niniejszej Umowy o ochronie danych;
(iv) w Klauzuli 11 nie będzie miał zastosowania język opcjonalny;
(vii) Załącznik I do SKU UE uznaje się za uzupełniony;
(A) Część A: z informacjami określonymi w Załączniku 1 do niniejszej Umowy o ochronie danych;
(C) Część C: zgodnie z kryteriami określonymi w Klauzuli 13 (a) SKU UE;
(a) Załącznik II: z minimalnymi środkami bezpieczeństwa; oraz
wer. 230117
zaznaczone w tabeli 4. Data rozpoczęcia obowiązywania Aneksu brytyjskiego (jak określono w Tabeli 1) jest Datą wejścia w życie.
a. SKU UE, uzupełnione jak określono powyżej w klauzuli 1 niniejszego Załącznika 3, mają również zastosowanie do przekazywania takich Danych osobowych, z zastrzeżeniem pod- klauzuli 3.b niniejszego Załącznika 3 poniżej;
b. Standardowe klauzule umowne włączone jako odniesienie będą chronić Dane osobowe podmiotów prawnych w Szwajcarii do czasu wejścia w życie zmienionego FADP.
wer. 230117
Załącznik 4
4.1 Dodatkowe wymagania dotyczące przekazywania Danych osobowych poza Europejski Obszar Gospodarczy
Następujące wymagania dodatkowe mają zastosowanie do każdego Ograniczonego przekazywania:
1. Klient będzie regularnie udostępniał firmie Cepheid informacje dotyczące wniosków władz publicznych o dostęp do Danych osobowych oraz sposobu udzielania odpowiedzi (jeżeli zezwalają na to przepisy prawa);
2. Klient gwarantuje, że nie stworzył celowo technicznego ukrytego wejścia ani procesów wewnętrznych w celu ułatwienia organom publicznym bezpośredniego dostępu do Danych osobowych i nie jest zobowiązany na mocy obowiązującego prawa lub praktyki do tworzenia lub zachowania ukrytego wejścia;
3. Klient zapyta każdy organ władzy publicznej występujący z wnioskiem o dostęp do Danych osobowych, czy współpracuje on z innymi organami państwowymi w tej sprawie;
4. Klient zapewni uzasadnioną pomoc podmiotom danych w wykonywaniu ich praw do Danych osobowych w jurysdykcji przyjmującej;
5. Klient zobowiązuje się do współpracy z firmą Cepheid w przypadku, gdy właściwy organ nadzorczy lub sąd uzna, że przekazanie Danych osobowych musi podlegać szczególnym dodatkowym zabezpieczeniom;
6. Klient wdroży szyfrowanie i/lub inne środki techniczne wystarczające do uzasadnionej ochrony przed przechwyceniem Danych osobowych podczas przesyłania; lub innym nieautoryzowanym dostępem przez organy publiczne; oraz
7. Klient musi wdrożyć odpowiednie zasady i procedury, w tym szkolenia, tak aby wnioski o dostęp do Danych osobowych składane przez organy publiczne były kierowane do odpowiednich stanowisk i odpowiednio obsługiwane.
4.2 Dodatkowe wymagania dotyczące przekazywania Danych osobowych poza Republikę Południowej Afryki
Następujące dodatkowe wymagania mają zastosowanie do przekazywania Danych osobowych poza Republikę Południowej Afryki:
1. Przekazywanie danych osobowych poza Republikę Południowej Afryki spełnia następujące parametry:
(A) Strona będąca odbiorcą informacji podlega prawu, wiążącym regułom korporacyjnym lub wiążącej umowie, które zapewniają odpowiedni poziom ochrony, który:
1. pozwala skutecznie przestrzegać zasad rozsądnego przetwarzania informacji, które są zasadniczo podobne do warunków zgodnego z prawem przetwarzania danych osobowych dotyczących podmiotu danych, będącego osobą fizyczną i w stosownych przypadkach osobą prawną; oraz
2. zawiera postanowienia dotyczące dalszego przekazywania danych osobowych od odbiorcy do stron trzecich znajdujących się zagranicą;
(B) podmiot danych wyraża zgodę na przekazanie;
wer. 230117
(C) przekazanie jest niezbędne do wykonania umowy między podmiotem danych a administratorem lub do wprowadzenia środków przed-umownych podjętych w odpowiedzi na wniosek podmiotu;
(D) przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie podmiotu danych między administratorem a osobą trzecią; lub
(E) przekazanie następuje na rzecz podmiotu danych; oraz:
1. uzyskanie zgody podmiotu danych na to przekazanie nie jest racjonalnie wykonalne; oraz
2. gdyby uzyskanie takiej zgody było racjonalnie wykonalne, podmiot danych
prawdopodobnie by jej udzielił.
2. Do celu niniejszego punktu:
(A) „wiążące reguły korporacyjne” to zasady przetwarzania danych osobowych w ramach grupy przedsiębiorstw, które są przestrzegane przez stronę odpowiedzialną lub operatora w ramach tej grupy przedsiębiorstw przy przekazywaniu danych osobowych stronie odpowiedzialnej lub operatorowi w ramach tej samej grupy przedsiębiorstw w obcym kraju; oraz
(B) „grupa przedsiębiorstw” to przedsiębiorstwo sprawujące kontrolę i kontrolowane przez niego przedsiębiorstwa.
wer. 230117